Cloud souverain : la révision à la baisse des objectifs européens agace

L'Europe est en train de finaliser un Schéma de certification des services cloud de l’Union européenne (EUCS) afin d'harmoniser la cybersécurité des services cloud en Europe. Or, la France veut que ce schéma reprenne les grands principes de sa norme SecNumCloud, exigée par exemple pour les données de santé et les données sensibles des administrations. Cette norme place ces données à l'abri des législations non-européennes à portée extraterritoriale, notamment américaines. Ces dernières permettent aux autorités fédérales d'accéder aux données détenues par des entreprises américaines, même si elles sont stockées en dehors des États-Unis. Après le Cigref en avril (qui regroupe les grandes entreprises et administrations publiques françaises) la Cnil en juillet (notre article du 7 février), c'est au tour de la Commission supérieure du numérique et des postes (CSNP) de monter au créneau. Dans un avis publié le 4 septembre 2024, la CSNP a souligné que l'abandon du niveau "High+" constituait un risque majeur pour la souveraineté numérique de l'Europe et pour la sécurité des données sensibles. Elle souligne aussi que la disparition de ce niveau de protection risque aussi de freiner le développement de l'offre européenne en matière de services cloud, tout en renforçant la dépendance envers les acteurs américains, qui trustent 70% du marché du cloud en Europe. La CSNP demande au gouvernement français d'agir pour réintégrer le niveau "High+" dans la directive EUCS. 
Les parlementaires appellent aussi à une communication ouverte sur l'état des négociations et à une pression accrue sur la Commission afin qu'elle retarde l'adoption du schéma de certification tant qu'une analyse des conséquences géopolitiques de l'abandon de ce niveau n'aura pas été réalisée.